Docker 资源隔离

最新推荐文章于 2024-04-21 16:21:21 发布
最新推荐文章于 2024-04-21 16:21:21 发布
阅读量611 收藏 1
点赞数
分类专栏: Docker 文章标签: docker linux 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39232113/article/details/112690138
版权

技术实现

Docker 是使用 Linux 的 Namespace 技术实现各种资源隔离的。
Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进程看到另一组资源。Namespace 的工作方式通过为一组资源和进程设置相同的 Namespace 而起作用,但是这些 Namespace 引用了不同的资源。资源可能存在于多个 Namespace 中。这些资源可以是进程 ID、主机名、用户 ID、文件名、与网络访问相关的名称和进程间通信。

Namespace 类型

在最新的 Linux 5.6 内核中,提供了 8 种类型的 Namespace,但最新版本的 Docker 只使用了其中的前 6 种类型,如下表所示:

Namespace 名称简称作用内核版本
Mountmnt隔离挂载点2.4.19
Process IDpid隔离进程ID2.6.24
Networknet隔离网络设备、端口号等2.6.29
Interprocess Communicationipc隔离信息量、消息队列和共享内存2.6.19
UTSuts隔离主机名和域名2.6.19
Useruser隔离用户和用户组3.8
Control groupcgroup隔离 Cgroups 根目录4.6
Timetime隔离系统时间5.6

Namespace 各类型作用

通过使用 unshare 命令可以实现创建并访问不同类型的 Namespace,模拟 Dokcer 资源隔离的效果。以下只针对 Docker 使用的前 6 种类型来分析它们各自的作用:

##### Mount Namespace:实现在不同的进程中看到不同的挂载目录
### 通过unshare命令创建一个bash进程,作为窗口1
$ unshare --mount --fork /bin/bash
[root@centos7 ~]# mkdir /tmp/tmpfs
[root@centos7 ~]# mount -t tmpfs -o size=20m tmpfs /tmp/tmpfs
[root@centos7 ~]# df -h /tmp/tmpfs
Filesystem      Size  Used Avail Use% Mounted on
tmpfs            20M     0   20M   0% /tmp/tmpfs

### 打开一个新的命令行窗口,作为窗口2验证
[root@centos7 ~]# df -h /tmp/tmpfs
df: /tmp/tmpfs: No such file or directory

--------------------------------------------------------------------------------------------------
##### PID Namespace:实现每个容器的主进程为1号进程,而容器内的进程在主机上却拥有不同的PID
### 在当前命令行窗口加入了新创建的 PID Namespace,从而看不到主机上其他进程信息
$ unshare --pid --fork --mount-proc /bin/bash
[root@centos7 ~]# ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0 115544  2004 pts/0    S    10:57   0:00 bash
root        10  0.0  0.0 155444  1764 pts/0    R+   10:59   0:00 ps aux

--------------------------------------------------------------------------------------------------
##### UTS Namespace:实现在容器内的主机名称为任意自定义的主机名
### 在当前命令行窗口加入了新创建的 UTS Namespace,作为窗口1
$ unshare --uts --fork /bin/bash
[root@centos7 ~]# hostname -b utsdocker && hostname
utsdocker

### 打开一个新的命令行窗口,作为窗口2验证
[root@centos7 ~]# hostname
centos7

--------------------------------------------------------------------------------------------------
##### IPC Namespace:实现在容器内的不同空间下的进程间不能通信
### 在当前命令行窗口加入了新创建的 IPC Namespace,作为窗口1
$ unshare --ipc --fork /bin/bash

## 创建系统间通信队列
[root@centos7 centos]# ipcmk -Q
Message queue id: 0

## 查看系统间通信队列列表
[root@centos7 ~]# ipcs -q
------ Message Queues --------
key          msqid      owner      perms      used-bytes   messages
0x73682a32   0          root       644        0            0

### 打开一个新的命令行窗口,作为窗口2验证
[root@centos7 ~]# ipcs -q
------ Message Queues --------
key        msqid      owner      perms      used-bytes   messages

--------------------------------------------------------------------------------------------------
##### User Namespace:实现进程在容器内拥有root权限,而在主机上却只是普通用户
### unshare命令报错无效参数,需要修改系统允许创建 User Namespace 的数量
$ echo 65535 > /proc/sys/user/max_user_namespace

### 在当前命令行窗口加入了新创建的 User Namespace
$ unshare --user -r /bin/bash
[root@centos7 ~]# id
uid=0(root) gid=0(root) groups=0(root),65534(nfsnobody) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

### 虽然已是root用户,但执行重启失败,说明并不能获取到主机的root权限
[root@centos7 ~]# reboot
Failed to open /dev/initctl: Permission denied
Failed to talk to init daemon.

--------------------------------------------------------------------------------------------------
##### Net Namespace:实现每个进程拥有自己独立的IP地址、端口和网卡信息
### 在当前命令行窗口加入了新创建的 Net Namespace,作为窗口1
$ unshare --net --fork /bin/bash
[root@centos7 ~]# ip a
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

### 打开一个新的命令行窗口,作为窗口2验证
[root@centos7 ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 02:11:b0:14:01:0c brd ff:ff:ff:ff:ff:ff
    inet 172.25.168.11/24 brd 172.25.168.255 scope global dynamic eth0
       valid_lft 86063337sec preferred_lft 86063337sec
    inet6 fe80::11:b0ff:fe14:10c/64 scope link
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
    link/ether 02:42:82:8d:a0:df brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:82ff:fe8d:a0df/64 scope link
       valid_lft forever preferred_lft forever
托瓦斯克一
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash 吞吐量优化_ELK+Kafka优化
weixin_39682940的博客
12-20 1272
说明接着上一篇的部署文章后,本篇就跟着笔者来看看相关组件的调优吧,其实优化方式可粗略分为:水平优化和垂直优化。水平优化主要就是水平扩展伸缩,通过 "量变" 达到 "质变" ;而垂直优化主要就是节省服务器资源,对服务器和部署的服务做到最大优化。以下只是大概的优化方向,小伙伴们根据自身的实际业务环境来进行相应的优化!硬件优化服务组件CPU内存硬盘Filebeat高高低Logstash高高低Kafka高...
Docker 运行时资源限制
热门推荐
勤能补拙
12-18 4万+
Docker 运行时资源限制Docker 基于 Linux 内核提供的 cgroups 功能,可以限制容器在运行时使用到的资源,比如内存、CPU、块 I/O、网络等。内存限制概述Docker 提供的内存限制功能有以下几点: 容器能使用的内存和交换分区大小。 容器的核心内存大小。 容器虚拟内存的交换行为。 容器内存的软性限制。 是否杀死占用过多内存的容器。 容器被杀死的优先级 一般情况下,达到内存限制
Docker资源隔离(namespace,cgroups)
匠人精神,持之以恒!
08-08 927
一、概述 Docker容器的本质是宿主机上的一个进程。Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过*写时复制机制(copy-on-write)*实现了高效的文件操作。 二、Linux内核的namespace机制 namespace 机制提供一种资源隔离方案。 PID,IPC,Network等系统资源不再是全局性的,而是属于某个特定的Namespace. 每个namespace下的资源对于其它的namespace下的资源是透明的,不可见的。 Linux内核实现
深入OceanBase内部机制:资源隔离实现的方式总结
最新发布
码到三十五
04-21 3万+
OceanBase的资源隔离机制是一种技术和管理策略,旨在确保在OceanBase数据库系统中,不同租户、用户或查询之间在资源使用上实现有效的隔离,从而防止单一租户、用户或查询对整个系统或其他租户造成资源上的不公平占用或性能影响。这种机制有助于维护数据库系统的稳定性和性能,同时确保数据的安全性和隐私性。
docker容器监控系列(二)之docker资源隔离资源限制原理分析
urmsone
03-08 1465
docker资源隔离资源限制原理分析 一、概述 docker通过namespace实现了资源隔离,通过cgroup实现了资源限制,通过写时复制实现了高效的文件操作。本文主要介绍namespace、cgroup以及docker run命令资源分配的相关参数 二、 namespace资源隔离 下面列出8个namespace和用来构建docker的特性 MNT:文件系统访问和结构(挂载点) chr...
[转载] namespace技术
weixin_30609331的博客
03-13 766
原文:http://www.infoq.com/cn/articles/docker-kernel-knowledge-namespace-resource-isolation namespace技术和cgroup技术是现阶段实现轻量级虚拟化的基石, 本文详细解释了namespace技术的基本原理, 对于理解namespace技术非常有帮助 Docker背后的内核知识——Na...
Docker背后的内核知识—Namespace资源隔离
01-30
Docker这么火,喜欢技术的朋友可能也会想,如果要自己实现一个资源隔离的容器,应该从哪些方面下手呢?也许你第一反应可能就是chroot命令,这条命令给用户最直观的感觉就是使用后根目录/的挂载点切换了,即文件系统...
如何隔离docker容器中的用户的方法
09-30
Docker 容器环境中,确保用户隔离是至关重要的安全措施,因为这能防止容器内的进程对宿主机系统造成潜在的危害。Docker 默认情况下并不自动启用用户隔离,而是依赖于 Linux 的 User Namespace 技术来实现这种隔离...
Docker 安装及配置
05-14
Docker 的发展历史可以追溯到 Linux Container 的出现,Linux Container 是一种内核虚拟化技术,可以提供轻量级的虚拟化,以便隔离进程和资源Docker 是 PAAS 提供商 dotcloud 开源的一个基于 LXC 的高级容器引擎,...
Docker Swarm 管理资源.rar
05-15
这个名为"Docker Swarm 管理资源.rar"的压缩包很可能包含了一系列关于如何使用Docker Swarm进行资源管理的教程、文档、示例或者脚本。在这里,我们将深入探讨Docker Swarm的关键特性、工作原理以及如何有效地利用它...
Docker背后的内核技术(一)——Namespace 资源隔离
Blue summer的博客
03-26 1385
注:本文分析基于3.10.0-693.el7内核版本,即CentOS 7.4 背景 容器技术的产生主要依赖于Linux内核的两大技术,Namespace和Cgroup,也就是资源隔离资源限制。这两种技术都可以单独使用,但是把它们放到一起后,实现的功能更为强大。我们今天就来了解了解Namespace技术。 Namespace种类 目前,内核中实现了6中Namespace: Namespac...
Apache Doris 资源隔离详解
ith321的博客
08-04 1897
Apache Doris 资源隔离详解
docker是怎么实现隔离
荒-于嬉的博客
06-10 566
docker如何实现的进程隔离
Docker容器化实战第四课 资源隔离和限制
fegus的博客
05-29 822
09 资源隔离:为什么构建容器需要 Namepace ? 我们知道, Docker 是使用 Linux 的 Namespace 技术实现各种资源隔离的。那么究竟什么是 Namespace,各种 Namespace 都有什么作用,为什么 Docker 需要 Namespace呢?下面我带你一一揭秘。 首先我们来了解一下什么是 Namespace。 什么是 Namespace? 下面是 Namespace 的维基百科定义: Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一
Docker 网络详解
03-15
Docker 是 PaaS 供应商 DotCloud 开源的一个基于 LXC 的高级容器引擎,基于 Go 语言开发并遵从Apache 2.0  协议,通过内核虚拟化技术(namespaces及cgroups等,这里的内核技术指的是Linux内核)来提供容器的资源隔离与安全保证等。由于docker通过操作系统层的虚拟化实现隔离,所以在运行时,不需要额外的虚拟化管理程序(VMM(Virtual Machine Monitor),以及Hyperisor)支持,它属于内核级虚拟化,可以实现更高的性能,同时对资源的额需求更低。它和KVM 虚拟化的区别在于:docker是通过隔离来进行创建容器,而KVM虚拟化通过模拟方式创建虚拟机。而本套课程主要讲解docker容器网络的各种构建方式,比如单台主机内的容器通信,及多台主机间的容器通信的主流实现方式。主要讲解Docker 网络以下几个方面:  1.  Linux的虚拟桥和虚拟网卡、网络名称空间等。  2.  Docker网络的基础知识。  3.  用户自定义的网络  4.  Docker和openvswitch虚拟交换机的集成。  5.  容器dns相关配置  6.  容器网络通信的相关安全  7.  容器和flannel网络集成  8.  容器网络的相关排错注意:本课程学习需要具有一定的Linux基础、网络基础,至少需要您了解网络七层协议,路由等基础知识,并掌握Docker相关知识点。
linux重启网络命令实例_Linux关机和重启示例教程
cunjiu9486的博客
10-09 2297
linux重启网络命令实例Shutting down the Linux systems can be done in different ways. We can use provided GUI like KDE, GNOME, Unity ect. to shutdown system. But what will we do if we have only console access t...
Docker资源隔离资源限制
AbeyQ_Q的博客
09-06 3982
Docker资源隔离资源限制Docker容器的本质Linux内核的namespace机制linux的namespace机制namespace可以隔离哪些Linux的 cgroups强大内核工具cgroups Docker容器的本质 docker容器的本质是宿主机上的一个进程。 Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过*写时复制机制(copy-o...
容器资源可视化隔离的实现方法
HULK一线技术杂谈
01-21 514
女主宣言通常有一些业务已经习惯了在传统的物理机/虚拟机上使用top,free等命令来查看系统的资源使用情况,而在容器中使用这些命令看到的仍然是物理机/虚拟机上的数据。本文针对该问题,介绍...
容器技术与资源隔离
a867901084的博客
08-04 483
简单的讲就是,Linux namespace 允许用户在独立进程之间隔离 CPU 等资源。进程的访问权限及可见性仅限于其所在的 Namespaces 。因此,用户无需担心在一个 Namespace 内运行的进程与在另一个 Namespace 内运行的进程冲突。甚至可以同一台机器上的不同容器中运行具有相同 PID 的进程。同样的,两个不同容器中的应用程序可以使用相同的端口。 与...
docker隔离原理
07-27
1. Linux 命名空间(Namespaces):Docker 使用多种 Linux 命名空间来隔离不同的系统资源,如进程、网络、文件系统、用户等。每个容器都有自己独立的命名空间,使得容器中运行的进程只能看到自己所在的命名空间中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值